Дослідник з кібербезпеки Пол Мур зламав новий додаток Європейського Союзу для перевірки віку менш ніж за дві хвилини.

Це сталося за кілька днів після того, як у ЄС офіційно назвали розробку технічно готовою. Президентка Єврокомісії Урсула фон дер Ляєн презентувала продукт як безпечний інструмент із відкритим кодом, закликавши європейські країни впроваджувати його для захисту дітей в інтернеті. 

Попри заяви посадовців про найвищі стандарти конфіденційності, експерт виявив критичні архітектурні вразливості. За словами Мура, систему захисту профілю можна обійти, змінивши кілька значень у конфігураційних файлах. 

Це дозволяє вимкнути ліміт на спроби вводу, проігнорувати запит на біометричну перевірку та скинути PIN-код, щоб отримати повний доступ до даних користувача. 

Ще одна проблема стосується збереження даних. Додаток надійно шифрує фінальний результат перевірки, проте оригінальні селфі та скан-копії документів зберігає у пам'яті смартфона без шифрування. 

У багатьох випадках ці зображення не видаляються системою і залишаються на пристрої для довгострокового зберігання. Дослідник назвав такий підхід «божевіллям». 

Водночас на платформі GitHub розробники зазначили, що оприлюднений застосунок є лише ранньою версією: її рівень безпеки нижчий за запланований фінальний продукт, тому використовувати програму в реальних умовах наразі не рекомендують. 

   

У ЄС дітям до 16 років пропонують обмежити доступ до соцмереж. Депутати посилаються на дослідження, згідно з яким 78% підлітків віком від 13 до 17 років перевіряють свої пристрої щонайменше раз на годину. У кожного четвертого – ознаки залежності від телефону.

Обкладинка: скриншот з відео @vonderleyen